PT-2025-46322 · WordPress · Hydra Booking
Ahmad Salem
·
Publicado
2025-11-11
·
Atualizado
2025-11-11
·
CVE-2025-12787
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Hydra Booking — Plugin de Agendamento de Consultas e Calendário de Reservas para WordPress versões anteriores à 1.1.28
Descrição
O plugin Hydra Booking para WordPress é suscetível a cancelamentos de reservas não autorizados. Isso é causado pelo uso de valores previsíveis na geração de tokens de cancelamento de reserva e um nonce compartilhado globalmente dentro da função
tfhb meeting form submit callback. Um atacante não autenticado pode cancelar reservas realizando ataques de força bruta contra o endpoint da API tfhb meeting form cencel.Recomendações
Atualize o plugin Hydra Booking para a versão 1.1.28 ou superior.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hydra Booking